Безопасное хранение секретов

Инфраструктура secrets-as-a-service
Редактировать
Описание

Secrets as a Service — практика, направленная на централизованное и безопасное управление конфиденциальной информацией (такими как пароли, API-ключи, сертификаты и другие секреты).

Ценность
Преимущества:
  • Доступ к секретам предоставляется только авторизованным системам и пользователям.
  • Возможность централизованного контроля доступа, журналирования операций, автоматического обновления и ротации ключей. Это помогает избежать ошибок в управлении доступом и повышает прозрачность использования секретов.
Последствия отсутствия:
  • Хранение секретов непосредственно в коде или в конфигурационных файлах создает высокий риск компрометации систем и данных.
  • Отсутствие автоматизации. Управлять секретами вручную в масштабных системах крайне сложно и неэффективно.
Действия для развития:
  • Использовать такие решения, как HashiCorp Vault, Deckhouse Stronghold, Yandex Lockbox или другие. Это обеспечит безопасное хранение секретов и централизованное управление доступом
  • Включить проверку секретов в процессе CI/CD для выявления уязвимостей до развертывания. Использование инструментов (напрмиер, TruffleHog) для предотвращения случайных утечек.
  • Настроить регулярную автоматическую ротацию паролей, ключей и других секретов. Это снизит риски компрометации и исключит необходимость вручную отслеживать сроки обновления.
Критерии оценки 14
SURVEY

Используется ли централизованное хранилище для управления секретами?

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Все секреты для пайплайна хранятся в системе управления секретами (например, Vault, Stronghold и т.д.)

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Все секреты для приложения хранятся в системе управления секретами (например, Vault, Stronghold и т.д.)

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Секреты инжектятся в пайплайн и поды приложений через систему управления секретами

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Есть ли ограничения на доступ к секретам в зависимости от роли или информационной системы?

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Ведется ли журналирование всех операций, связанных с доступом к секретам?

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Проводится ли регулярный аудит использования секретов и доступа к ним?

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Каким образом хранятся секреты (пароли, ключи, сертификаты и т.д.)?

Варианты ответа:
  • +1 В централизованном хранилище секретов
  • 0 В конфигурационных файлах на серверах
  • -1 Непосредственно в коде
INTERVIEW

Каким образом обеспечивается безопасность секретов? Используются ли инструменты централизованного управления?

INTERVIEW

Какие процессы существуют для ротации и обновления секретов? Автоматизирован ли этот процесс?

CHECK

Секреты пайплайна хранятся в CI/CD variables

CHECK

Все секреты для пайплайна хранятся в системе управления секретами (Vault/Stronghold/etc.)

CHECK

Все секреты для приложения хранятся в системе управления секретами (Vault/Stronghold/etc.)

CHECK

Секреты инжектятся в пайплайна и поды приложений через систему управления секретами

Ресурсы 2
  • gitlab.com
    https://gitlab.com/express42/internal-infrastructure/layers/infrastructure/-/blob/main/.gitlab-ci.yml?ref_type=heads#L39
  • gitlab.com
    https://gitlab.com/express42/starsmap/httpapi/-/blob/master/.helm/templates/deployment-uwsgi.yaml?ref_type=heads#L49
Действия
Редактировать практику Новая практика в этом домене
Метаданные
ID:
450d0bcd-f0fe-47a4-8572-41d9467531e8
Slug:
secrets-as-a-service
Версия:
2.0
Проекты:
ПСБ/Инфраструктура как код
Критерии:
8 survey 2 interview 4 check
Создано:
2026-04-30
Обновлено:
2026-04-30